用户投稿
-威胁建模(来源:CSSLP CBK)
根据CSSLP CBK,可以通过以下方式进行威胁建模:
1.图表应用程序体系结构(Diagram Application Architecture)
用例可用于识别参与者,数据流程图描述数据元素及其流,而架构图则演示拓扑。
2.识别威胁(Identify Threats)
OWASP十大Web应用程序安全风险是一个分类的威胁列表,这是用于风险/威胁识别的常用工具。
3.识别,确定优先级并实施控制(Identify, Prioritize & Implement Controls)
输入验证,错误处理和日誌记录是缓解威胁的对策或控制。在确定威胁后实施它们。
4.文件和验证(Document & Validate)
计算残留风险是实施对策或控制措施之后的最后一步。
参考
.CSSLP CBK
资料来源: Wentz Wu QOTD-20201225
微信扫一扫打赏
支付宝扫一扫打赏
